Foton och videor som lagras på Google-foton Skyddas dåligt bakom en enkel fördunkad webblänk?
Google Photos är överlägset en av de mest populära molnbaserade lagringslösningarna som också är integrerade i andra Googles produkter och tjänster. Men det har också ett ganska förenklat skyddsskikt för media som användare lagrar och delar, upptäckte en forskare. Det enda som står mellan offentlig exponering av privat delade foton och videor är en fördunkad webblänk. Ägare av media, som vill dela dem med en viss person, erbjuds en länk som kan delas. I grund och botten är det Google Foto som skapar en länk. I stället för att bara erbjuda eller tillåta begränsad åtkomst till de auktoriserade kontona kan alla som har åtkomst till webblänken enkelt komma åt och visa innehållet.
Google Photo-användare måste varnas för ett ganska konstigt kryphål som i huvudsak ökar exponeringen av deras privata innehåll inklusive foton och användare som är lagrade på plattformen. Privata länkar som skapats för att dela media kan enkelt användas av alla för att se detsamma. Med andra ord blev privat delade länkar offentligt tillgängliga. Det behöver inte sägas att detta är en ganska allvarlig tillsyn och absurt hur Google kan låta detta hända.
Hur blir privat delade medier på Google Foto offentligt tillgängliga?
Forskare Robert Wiblin över 80 000 timmar upptäckte nyligen säkerhetsförloppet som i huvudsak avslöjade privat innehåll som lagrats på Google Foto och gjorde det offentligt tillgängligt. Han försökte och lyckades återskapa scenariot flera gånger, och vid varje tillfälle är de privat delade länkarna offentligt tillgängliga från vilket Google-konto som helst. Överraskande nog behöver personer som ville se innehållet, inklusive foton och videor, inte loggas in på ett Google-konto. I grund och botten kan vem som helst som har tillgång till den delade länken till Google Photos-media, fungerande internet och en webbläsare helt enkelt se innehållet obegränsat. De skulle inte behöva specifika behörigheter för att få tillgång till media eller till och med ett Google-konto för att göra det. Allt som krävs är tillgång till webblänken.
Google förlitar sig på förvirring som det enda försvaret mot obehörig tillgång till delade medier på Google Foto?
Det är uppenbart att Google inte distribuerar flera skyddsåtgärder och digitala dörröppningar för att hindra obehöriga från att komma åt delade bilder och foton på Google Foto. Sökjätten förlitar sig bara på fördunkning av webblänken till det delade innehållet som det enda skyddet som står mellan innehåll och auktoriserad eller obehörig åtkomst.
Till Googles försvar är det praktiskt taget omöjligt för hackare eller personer med skadlig avsikt att gissa den webblänk som ger åtkomst till delade foton och videor. Men i framtiden kan en liten brist tillåta hackare att göra det genom att reverse-engineering algoritmen som fungerar för att generera URL. Med enkla ord kan brute force-attacker, som använder kraftfull datorhårdvara för att gissa webbadressen, kanske aldrig ge tillgång till delat media på Google Foto.
Att få tillgång till rätt och fullständig webblänk är dock löjligt enkelt genom några andra vanligt använda tekniker. Tredjeparter, som inte borde kunna se innehållet, kan enkelt säkra webbadressen som ger dem åtkomst till Google Foto. Några av de vanligaste metoderna för att ta till sig webbadressen inkluderar nätverksövervakning, oavsiktlig delning eller okrypterad e-post. Dessutom kan hackare distribuera socialteknik för att få människor att oavsiktligt eller av misstag dela länkarna. Att få tillgång till webbadressen är i huvudsak det enda steget som krävs. Alla som har åtkomst till länken kan sedan helt enkelt sätta länken i vilken webbläsare som helst och se de delade medierna. Vad som är ännu mer angeläget är att obehöriga kan komma åt innehållet även om de inte är inloggade på ett Google-konto.
Google anger inte öppet sådant dåligt skydd på Google Photos men erbjuder en säkerhetsbrytare
Robert Wiblin insisterar på att Google Foto inte avslöjar detta för kunden. Ännu mer oroande är att det inte finns något definitivt sätt att fastställa eller fastställa mediaens statistik. Med andra ord finns det ingen korrekt information som Google-kunder kan försöka bestämma hur ofta och av vem de delade bilderna har visats.
Google är känt för sin enkelhet och användarvänlighet. Produkterna som utvecklas saknar vanligtvis den komplicerade inställningssidan. Användare kan snabbt navigera eller till och med söka efter en viss inställning. Ofta är de flesta relevanta inställningar för en viss åtgärd eller kommando synliga när de körs samma. Det är dock inte fallet för Google Foto, och särskilt inte för delning av media.
Google Foto erbjuder ingen tydlig och direkt information om hur delning av media kan inaktiveras så att andra inte kan komma åt det längre. Användare av tjänsten måste komma åt delningsmenyn och hålla muspekaren över det aktuella delade albumet. En meny som dyker upp erbjuder ett alternativ att ta bort albumet. Det finns dock ett annat sätt att begränsa obehörig åtkomst till delade medier på Google Foto. Istället för att radera hela albumet kan användare söka efter ett alternativ för att sluta dela länken i albumalternativen.
Denna nyligen upptäckta och fortfarande användbara metod för att komma åt innehåll utan uttryckligt tillstånd är ganska allvarlig. Google Photos-gränssnittet liknar ganska mycket på Google Drive. Dessutom var de två inneboende kopplade till helt nyligen. Detta gör att flera användare antar att Photos har samma behörighet och begränsningar som Drive. Det är dock helt klart inte fallet. Dessutom har den nyligen avlänkade komplicerade frågorna ytterligare.
Intressant är att det kanske inte är så svårt för Google att matcha delningsbeteendet i Google Foto med Google Drive. Google Drive behandlar privata aktier på liknande sätt som "Privata" videor på YouTube. Endast behöriga tittare har tillgång till sådana videor. Google Photos verkar emellertid behandla media som "onoterade" videor på YouTube. Om en person har en länk till videon kan han enkelt titta på densamma. Om foton börjar lägga till autentiserings- och begränsningsregler inom webbadressen eller på målsidan, kan media skyddas från obehörig åtkomst.